[发明专利]一种新的基于流数据的局域网网络安全检测方法

摘要

本发明公开了一种新的基于流数据的局域网网络安全检测方法，选择源IP地址（SrcIP）、目标IP地址（DstIP）、网络连接流量（ConFlow）三个字段特征属性，使用变异的滑动窗口技术，把十字转门模型、收银机模型与时间序列模型相结合着处理大型流数据，从而实现网络的实时监控。

主权项

一种新的基于流数据的局域网网络安全检测方法，包括如下步骤：（1）用大纲数据结构中的等高直方图来存储流入的数据，每个等高直方图就是一个桶（bucket）；（2）在桶中存储三部分信息：① 以用户的源IP地址（SrcIP）作为标识的桶特征值，②目的IP地址（DstIP），③数据流量包流量总和（SumConFlow）；（3）在当前时间窗口 (t，t+N)内， 对于初始窗口，对其特征属性值进行累加，即当新数据对象到达时，首先与已有桶的特征值进行比较，如具有相同的标识，则应用收银机模型进行累加，并将其放入具有相同标识的桶中，然后更新桶内的目的IP地址与桶内的网络连接流量值；如果不存在相同标识的对象，则创建一个新桶，并将其放入，新桶的特征均值为对象的源IP地址，然后更新桶内的目的IP地址与桶内的网络连接流量值；（4）对于窗口的滑动过程中，采用十字转门模型，窗口每次向前移动的大小为a*N，同时窗口的大小也增加a*N，移动后的窗口终止位置与移动前窗口的终止位置之间的数据量为2a*N；这里a为0～1之间参数，具体取值根据实际流数据检测的需要认为设定；（5）对于新到来的数据对象，依然采用第3步来进行处理；而对于离开的数据对象的处理方式如下：查找离开的数据所在的桶，并检测与该数据具有相同标识符的目标IP地址的个数，若为多个，则减去一个，并将该数据对象的流量去除；若为一个，则去掉该数据，并删除该数据对象所对应的桶；（6）聚类结果为代表不同源IP地址的桶，加以分析归类。